NSA:s spionage kan hjälpa diktaturer

Ett tag såg det ut som om olika totalitära stater och system skulle lyckas stänga den dörr som internet hade öppnat för yttrandefriheten. Sedan kom motreaktionen – en ny våg av ”hacktivism” och programvara för aktivister. Och tack vare Edward Snowdens avslöjanden riktas NU uppmärksamheten mot NSA:s övervakning. IT-journalisten Linus Larsson reder ut begrepp som Tor, NSA och PGP.

6 maj 2014 Text: Linus Larsson Foto: Gordon Andersson

De senaste nio månaderna har vi fått veta mer om vad som händer innanför dörrarna på NSA än under myndighetens drygt 60-åriga historia. Ett efter ett har de fantasifullt namngivna programmen dragits fram i ljuset: PRISM, XKeyscore, Muscular. Störst uppmärksamhet har den renodlade övervakningen fått, information om hur NSA kan snoka bland e-post eller avlyssna Angela Merkels mobiltelefon.

I grova drag kan NSA:s verksamhet sägas vila på två principer. Den ena är just möjligheten att sticka sina digitala tentakler långt i internetföretagens och telefonoperatörernas system och plocka ut information efter eget huvud. Det kan ske genom att NSA släpps in i nätets viktiga datacenter och knutpunkter, men också genom direkt offensiva hackningsoperationer. Tekniker från NSA eller dess allierade angriper system, på samma sätt som en kriminell liga på jakt efter internetbanker eller företagshemligheter. Ett exempel på sådan offensiv hackning avslöjades av Der Spiegel i höstas, då det framkom att NSA:s brittiska motsvarighet GCHQ hade hackat den belgiska, delvis statligt ägda telefonoperatören Belgacom.

Den andra principen går ut på att sabotera internetsäkerhet, för att använda drastiska ord. I hemlighet samarbetar NSA med mjukvaruföretag för att göra företagens säkerhetsprogram enklare att kringgå. Sämre, med andra ord. Det kan låta absurt, men framgår tydligt i läckta dokument som The Guardian har publicerat: Spionmyndigheten “arbetar aktivt med den amerikanska och utländska IT-branschen för att i hemlighet påverka […] hur deras kommersiella produkter utformas”, bland annat genom att “föra in sårbarheter i kommersiella krypteringssystem”.

Med andra ord bekräftas att NSA för in säkerhetsluckor i system som används för att skydda känslig kommunikation. Det kallas bakdörrar och fungerar just så, som genvägar in i datorer och system för den som vet att leta på rätt ställe. Om din vanliga arbetsdator är försedd med en bakdörr kan den som har planterat den logga in, läsa dina filer. Om bakdörren byggs in hos en stor internetoperatör blir konsekvenserna långt värre – då kan internettrafik avlyssnas.

Bilden av en allomfattande, förebyggande nedbrytning av all form av säkerhet växer fram. NSA ska, så långt det är möjligt, se till att kryptering och säkerhetsfunktioner håller tillräckligt låg kvalitet för att underrättelseanalytiker kan slå hål på dem när de anser sig behöva göra det.

Tanken är naturligtvis att bara NSA ska kunna utnyttja dessa bakdörrar. Problemet är att inga sådana garantier kan ges. Ingen kan lova att inte kinesiska eller iranska underrättelsetjänster upptäckter samma säkerhetshål. Eller kriminella ligor, politiska grupperingar eller vem som helst med intresse av att avlyssna sina motståndare. NSA spelar ett högt spel.

Projektet är minst sagt omfattande, med en årlig budget på över 250 miljoner dollar. Det avslöjas i läckta dokument, men mycket litet är känt om vilka företag som ingår i det hemliga samarbetet.

Detta sätt att undergräva internetsäkerheten riskerar att få än värre konsekvenser än den konkreta avlyssning som myndigheten själv bedriver. NSA är visserligen ansett som den underrättelseorganisation med störst kunskap och resurser för digital avlyssning, men andra länder trappar upp. Till exempel tros Kina ha mellan 30 00050 000 poliser anställda bara för att syssla med internetcensur, enligt Amnestys uppskattning.

Det hela blir extra oroväckande ju mer oppositionella i diktaturer förlitar sig på tekniska skyddsmekanismer och kryptering för att skydda sin kommunikation. Exemplen på det är många.

Tor är ett nätverk som hjälper människor att använda nätet anonymt. Genom att kryptera kommunikationen och låta den studsa runt över internet i en komplicerad struktur innan den når mottagaren så ska det bli omöjligt att ta reda på vem som ligger bakom en uppkoppling. Ett filmklipp kan laddas upp via Tor från ett land till ett annat, utan att regimen i avsändarlandet kan avgöra vem som skickade det. Dessutom hjälper Tor människor i länder med kraftig internetcensur att ta sig förbi spärrar, till exempel Kinas omfattande blockeringsfunktion “Great Firewall of China”.

Under protesterna i Iran 2009, den så kallade gröna revolutionen, ökade användningen av Tor tiofaldigt under protesternas första veckor. Genom att koppla upp sig anonymt blev det möjligt att föra ut bilder, filmer och text från landet, men också att ta del av utländsk rapportering om vad som hände på Teherans gator. Tor är än i dag det kanske bästa exemplet på hur teknik kan användas för att främja yttrandefrihet och skapa kommunikationsvägar i repressiva stater.

Just Tor har hamnat rakt i NSA:s kikarsikte. Att myndigheten har ägnat flera rapporter och omfattande studier av anonymiseringsnätverket kan ses som ett kvitto på att det faktiskt fungerar. “Vi kommer aldrig kunna avanonymisera alla Tor-användare hela tiden”, skriver NSA i ett läckt dokument, “men genom manuell analys kan vi avanonymisera en mycket liten del”[1].

NSA:s arbete med Tor inbegriper forskning kring hur systemet kan attackeras[2]. Flera strategier läggs fram, från sätt att överlista anonymitetsfunktionen till sätt att göra nätverket så långsamt att det blir mindre lockande. Eftersom den grundläggande anonymiseringsfunktionen inte har överlistats arbetar NSA för att hitta sätt att identifiera enskilda Tor-användare och angripa deras datorer. Ett drömscenario för en underrättelsetjänst vars spaningsobjekt döljer sina spår på nätet med denna metod, oavsett om underrättelsetjänsten hör hemma i Washington DC eller i Beijing. Även under den arabiska våren använde aktivister sig av Tor i sin kommunikation med varandra och med omvärlden.

Försöken att knäcka Tor visar den amerikanska regeringens kluvna inställning till tekniken. Faktum är att Tor till stor del utvecklas med statligt stöd. Det amerikanska utrikesdepartementet har både bidragit med pengar till utvecklingsarbetet (även svenska SIDA ger ekonomiskt stöd), och bekostat utbildningsinsatser av syriska rebeller för att lära dem kommunicera digitalt utom Assad-regimens kontroll [3]. För några år sedan avsatte USA 57 miljoner dollar till anonymiseringshjälp åt människor i konfliktområden och diktaturer. Detta samtidigt som en annan gren av staten ägnar sig åt försök att knäcka samma nätverk.

Skaparna av Tor, varav många är volontärer som bidrar på ideell basis, har så vitt känt inte bidragit till att försvaga säkerheten på NSA:s uppmaning. Men det har privata företag gjort. Vilka företag som har gått i säng med NSA framgår inte av de läckta dokumenten – informationen skyddas av än högre säkerhetsklassning än den Edward Snowden hade. Men enstaka fall har dragits fram i ljuset. RSA är ett av världens viktigaste företag inom kryptering och säkerhet. Det har nyligen avslöjats att RSA tog emot 10 miljoner dollar från NSA, i utbyte mot att företaget använde kod med kända brister i sin mjukvara, vilket i praktiken gjorde att krypteringsfunktionerna blev enklare att knäcka.

Historiskt sett är det inte förvånande. USA har i årtionden sett kraften i kryptering, och problemen det skulle innebära om landets fiender lade händerna på den. NSA:s uppdrag har alltid bestått dels i att skydda USA:s egna hemligheter, dels i att avslöja andras. Tidigare sköttes det med handelshinder. Krypteringsmekanismer klassades som vapen och belades med exportförbud. Så sent som på 1990-talet åtalades programmeraren och aktivisten Phil Zimmerman för att ha exporterat förbjuden krypteringsutrustning. Programmet han hade skapat hette PGP och är i dag den mest populära metoden för att kryptera e-post. (Åtalat lades ner fem år senare, och historien blev känd som The Crypto Wars.)

Internet slog undan benen för exportkontroll av kryptering. Det gick helt enkelt inte att styra över vart tekniken spred sig och vem som fick tillgång till den. Det är i detta perspektiv man ska se NSA:s strävan att försämra säkerheten rent generellt – om alla får möjlighet till samma mekanismer så måste de ha tillräckligt stora hål för att NSA ska kunna avlyssna.

Tack vare sin centrala roll i den internationella IT-säkerhetsvärlden kan NSA gå ännu längre än att påverka enskilda säkerhetsprodukter. Myndigheten har (eller hade åtminstone, före Snowden-läckorna) ett starkt inflytande över standarder för kryptering, ett slags grundläggande regelböcker som kommersiella företag rättar sig efter när de utvecklar digitala skyddsmekanismer. I läckta dokument framgår att NSA arbetar för att påverka dessa standarder i en riktning som dess övriga verksamhet har att vinna på – sämre säkerhet som är lättare att knäcka. Det påverkar så gott som alla som använder nätet. Standarder som dessa används för att kryptera banktransaktioner så väl som hårddiskar och känslig korrespondens. Efter avslöjandet har vissa standarder dragits tillbaka. Arbetet att gå igenom fler i jakt på bakdörrar pågår.

Rörelsen för informationsfrihet tar sig många former. I samband med den gröna revolutionen i Iran arbetade aktivister i väst för att förse iranier med verktyg för att kunna kommunicera fritt. Falun Gong-anhängare i väst har utvecklat programmet Ultrasurf för att låta kinesiska meningsfränder nå information utanför landets nationella brandvägg. När Egypten stängde av hela landets internetuppkoppling i januari 2011 för att kväsa oppositionen så spred aktivister telefonnummer som gjorde det möjligt att skicka bilder och text via gammaldags modem.

Alla försök att skydda dissidenters kommunikation vilar i grunden på teknik, på kod som gör spårning och avlyssning omöjlig. Att NSA lägger hundratals miljoner dollar på att göra denna kod sämre är minst lika oroväckande som det spionage vi de senaste månaderna har kunnat läsa om.